Datenschutzkonforme COVID-19 -Apps
FireEye: Grundsätze für sichere Tracking-Apps
Forscher auf der ganzen Welt arbeiten mit Hochdruck daran, Impfstoffe und Medikamente zu entwickeln, die die Ausbreitung der COVID-19-Pandemie aufhalten können. Es gibt Belege dafür, dass technische Unterstützung einen wertvollen Beitrag in diesem globalen Kampf leisten kann. Doch der Einsatz mobiler Geräte als Teil der Strategie wirft wichtige Fragen zu den Themen Datenschutz und Sicherheit auf. David Grout, CTO EMEA beim Sicherheitsanbieter FireEye, führt Grundprinzipien auf, die zu beachten sein sollen, damit Corona-Tracking-Apps sicher und datenschutzkonform sind.
In der Regel laden Nutzer die Apps freiwillig herunter und aktivieren diese. In diesem Fall bestehe die Herausforderung darin, dass ein großer Teil der Bevölkerung Corona-Tracking-Apps nutzen muss, um im Kampf gegen das Virus wirksam zu sein. Das Ziel, möglichst hohe Nutzerzahlen zu erreichen, könnte Entwickler dazu verleiten, den wahren Zweck einer Anwendung zu verschleiern. Wenn die Anwendung jedoch die Art der Datensammlung und -freigabe verbirgt, ist die von der Einzelperson erteilte Zustimmung nicht gültig. Apps sollen genau erklären müssen, welche Daten sie wie und mit welchem Ziel sammeln.
Laut des Sicherheitsexperten sollten App-Entwickler darlegen, unter welchen Bedingungen eine Weitergabe der von der Anwendung gesammelten Daten an Dritte erfolgen kann. Eine beschränkte Weitergabe an Einrichtungen des öffentlichen Gesundheitswesens sei für den Endnutzer eher akzeptabel als der Verkauf von Daten an eine unabhängige Drittpartei.
Die Entwickler von Apps sollten laut Grout die Option vorsehen, die App einzustellen, wenn nationale Gesundheitsbehörden feststellen, dass die Sammlung von Daten zur Bekämpfung der Pandemie nicht mehr vonnöten ist. Die Datenspeicherung sollte sich ebenfalls an Entscheidungen der nationalen Gesundheitsbehörden orientieren.
Es ist essenziell, dass Anbieter und Nutzer die Technik verstehen, auf die sie für den Informationsaustausch angewiesen sind, so David Grout. Es liege an Anbietern und politischen Entscheidungsträgern, die konkreten Regeln für jede Technik und für deren Nutzung zu definieren. Wenn sie Entscheidungen für oder gegen die Nutzung einer bestimmten Technologie treffen, ist es wichtig, zu wissen, wie diese Techniken Informationen sammeln.
App-Anbieter sollen zudem ein angemessenes Sicherheitsniveau gewährleisten müssen, beispielsweise durch Verschlüsselung, um Datenlecks und -manipulationen durch Dritte zu vermeiden. Sie sollten transparent über die Technik hinter der Anwendung und über Sicherheitsvorkehrungen informieren. Empfehlenswert seien ein Leitfaden zur Implementierung sowie Compliance-Regeln, die von internationalen Organisationen und Regierungen definiert werden.
Je nach Gerichtsbarkeit können Endnutzer Zugang zu ihren persönlichen Daten sowie deren Löschung verlangen. App-Entwickler müssen einen Weg finden, wie sie diese Anfragen entgegennehmen, validieren und umsetzen können.
Weiter Informationen finden Interessierte unter www.fireeye.com.
Lesen Sie mehr zum Thema
